Gebruikerstoegang beperken tot Windows 365 fysieke apparaat opstarten

Windows 365 Fysieke apparaten opstarten zijn bedoeld om gebruikers te laten communiceren met hun cloud-pc's zonder de mogelijkheid om te communiceren met het fysieke apparaat. Om dit doel te bereiken, moet u een aantal CSP-beleidsregels (Configuration Service Provider) instellen.

Windows 365 Opstarten stelt dit beleid niet automatisch in om eindgebruikers volledig te beperken tot toegang tot bepaalde resources op het fysieke apparaat. Beheerders moeten de volgende CSP's controleren en bepalen welke op het fysieke apparaat moeten worden geïmplementeerd om te voldoen aan de beveiligingsvereisten van uw organisatie.

Er is een nieuw CSP-beleid in openbare preview beschikbaar. U kunt dit beleid gebruiken om apparaten automatisch verder te beperken. Zie TBS voor meer informatie.

Toegang tot taakbeheer van het fysieke apparaat voorkomen

In de openbare preview-versie van Windows 365 functie Opstarten is taakbeheer van het lokale apparaat nog steeds toegankelijk wanneer gebruikers op Ctrl+Alt+Delete drukken. Taakbeheer kan worden uitgeschakeld met behulp van het CSP-beleid DisableTaskMgr.

Dit beleid voorkomt het gebruik van Taakbeheer in het systeem voor alle gebruikers, inclusief beheerders. Het voorkomt ook dat Taakbeheer wordt gestart met behulp van sneltoetsen op het fysieke apparaat. Hoewel dit beleid de beveiliging van het apparaat verhoogt, maakt dit gebrek aan toegang tot het fysieke apparaat het moeilijker om problemen op het apparaat op te lossen.

Voorkomen dat gebruikers het wachtwoord van het fysieke apparaat wijzigen

Het wijzigen van gebruikerswachtwoorden wordt niet ondersteund voor fysieke Windows 365 Boot-apparaten. Als deze optie wordt gebruikt in uw omgeving, kan deze worden uitgeschakeld om verwarring tussen gebruikers te voorkomen met behulp van het CSP-beleid DisableChangePassword.

Standaardreferentieprovider instellen

De openbare preview-versie van Windows 365 Opstarten is ontworpen voor de modus voor gedeelde pc's. Voor deze modus is de verificatiemethode voor gebruikersnaam en wachtwoord vereist. Afhankelijk van uw omgeving zijn mogelijk andere verificatieproviders geconfigureerd en kunnen uw gebruikers in verwarring raken. Om deze verwarring te voorkomen, kunt u overwegen om de standaardreferentieprovider in te stellen op gebruikersnaam en wachtwoord. Als u deze standaardinstelling wilt instellen, gebruikt u het CSP-beleid DefaultCredentialProvider.

Meldingen en actiecentrum van de taakbalk verwijderen

Als uw apparaten touchscreens hebben, kunnen gebruikers communiceren met het meldingencentrum en de agendaweergave van het fysieke apparaat. Met deze onderdelen kunnen gebruikers ook de app Instellingen starten voor het fysieke apparaat Windows 365 Opstarten. Gebruik het CSP-beleid DisableNotificationCenter om de toegang van de gebruiker tot deze onderdelen te verwijderen.

Meldingen van fysieke apparaten voorkomen

Meldingen van de Windows 365 fysieke opstartapparaat kunnen worden weergegeven via de cloud-pc-sessie. Gebruik het CSP-beleid NoToastNotification om dergelijke meldingen te voorkomen.

Automatisch starten van apps tijdens het aanmelden van gebruikers voorkomen

Sommige toepassingen op het fysieke apparaat Windows 365 Opstarten zijn mogelijk geconfigureerd om automatisch te worden gestart tijdens het aanmelden van de gebruiker. Gebruik het CSP-beleid DisableExplorerRunLegacy_1 om dit gedrag te voorkomen. 

Aanmelding op apparaten met aanraakscherm verbeteren

Voor touchscreenapparaten moet het schermtoetsenbord worden weergegeven tijdens het aanmelden van de gebruiker. Op Windows 365 apparaten met aanraakscherm opstarten kunt u de aanmeldingservaring verbeteren met behulp van het CSP-beleid EnableTouchKeyboardAutoInvokeInDesktopMode.

Volgende stappen

Problemen met Windows 365 opstarten oplossen.